Appleは月曜日のmacOS Catalinaの正式リリースを機に、デスクトップオペレーティングシステムの12以上のセキュリティホールを修正した。
本日リリースされた macOS 10.15 アップデートには、さまざまなコンポーネントにおける合計 16 件の CVE リストのセキュリティ脆弱性の修正が含まれています。
なお、これらのパッチは、少なくとも現時点ではmacOS 10.15でのみ提供されていることに注意してください。Mojave(10.14)を引き続きご利用の方にはSafariのアップデートが提供されますが、セキュリティコンテンツは含まれていません。つまり、これらの16個の脆弱性のいずれかがCatalina以前のmacOSリリースに存在する場合、それらのビルドのユーザーは、それらのバージョン向けのセキュリティアップデートが提供されるまでしばらく待たなければならない可能性があります。
そのため、一部のMacユーザーは、最新のセキュリティ修正プログラムをインストールしてmacOS 10.15でアプリが1つか2つ壊れるという、あまり好ましくない状況に陥ることになります。あるいは、今のところアップグレードを見送り、パッチを逃すという選択を迫られるかもしれません。AppleのOSソフトウェアの最初のメジャーリリースは、多少の不安定さを伴う傾向があることを覚えておいてください。
虫を駆除
Catalinaで修正された深刻なバグの中には、macOSカーネル自体に存在する2つの脆弱性(CVE-2019-8781、CVE-2019-8717)があり、これらは任意のコード実行を許す可能性があります。いずれの場合も、システム上に既に存在するカーネルにアクセスできるアプリケーションがメモリ破損エラーを引き起こし、この脆弱性を悪用する可能性があります。
任意のコード実行エラー (この場合も、アプリケーションがマシン上ですでに実行されている必要があります) も発見され、AMD (CVE-2019-8748) および Intel グラフィックス ドライバー (CVE-2019-8758) コードのファームウェアで修正されました。
macOS の UIFoundation コンポーネントに起因するバッファ オーバーフロー エラーである CVE-2019-8745 により、汚染されたテキスト ファイルを開くことでコードを実行することもできます。
AppleのWebKitエンジンには2つのパッチが提供されます。1つ目のバグ(CVE-2019-8769)は、悪意のあるウェブサイトがユーザーの閲覧履歴を盗聴できる可能性があります。2つ目のバグ(CVE-2019-8768)は、「履歴とウェブサイトのデータを消去」コマンドのエラーで、消去されるはずの情報が誤って保持されてしまうというものです。
このアップデートで最も興味深いバグの一つはCVE-2019-8772です。今月初めにボッフム大学とミュンスター大学の研究者による論文で明らかにされたこの脆弱性により、攻撃者は暗号化されたPDFから一部のデータを盗み出すことができます。
A12以前のiPhoneをお持ちですか?脱獄はお好きですか?ハッピーフライデー!「パッチ適用不可能なテザリングBoot ROMエクスプロイト」が公開されました
続きを読む
もう 1 つは CVE-2019-8755 で、これは IOGraphics コンポーネントの「ロジックの問題」であり、不正なアプリケーションがカーネル メモリの内容を盗聴できる可能性があります。
Appleのアップデートに注目する必要があるのはMacユーザーだけではありません。iCloudソフトウェアのWindows版(Windows 10用は10.7、Windows 7用は7.14)もアップデートされています。
その中には、コード実行を可能にするテキストファイルの脆弱性 CVE-2019-8745 のほか、WebKit における 2 つのクロスサイトスクリプティングの脆弱性 (CVE-2019-8625、CVE-2019-8719) と 5 つの任意のコード実行の脆弱性 (CVE-2019-8707、CVE-2019-8726、CVE-2019-8733、CVE-2019-8735、CVE-2019-8763) が含まれています。
明日は Microsoft、Adobe、SAP が月例セキュリティ修正プログラムを提供するため、パッチ作業量が大幅に増加するため、管理者は Apple のアップデートを今日中にテストしてインストールしておくことをお勧めします。®
